La cyber sécurité expliquée : mieux comprendre pour mieux se protéger

La cyber sécurité expliquée : mieux comprendre...

La cyber sécurité expliquée : mieux comprendre pour mieux se protéger

Cyber Risk & Security, 30/11/2020 à 07:30

Alors que dans l’actualité, les cas recensés d’attaques informatiques, de fuites de données personnelles, de sites gouvernementaux mis hors services, d'arnaques, etc.. se multiplient, votre entreprise met en place des systèmes et protocoles de sécurité dont vous ne comprenez pas forcément l’utilité. Pire, cela peut même vous apparaître ennuyant.
En effet, rien de très "sexy" dans le fait de devoir valider sa connexion avec un code reçu par SMS, ou de devoir changer régulièrement son mot de passe selon un protocole interminable : au moins 8 caractères avec minuscules, majuscules, chiffres, caractères spéciaux, ... Le tout devant être différent des 10 derniers mots de passe utilisés. Il y a de quoi devenir paranoïaque ou se lasser ; avec le risque d’en faire soit trop, soit trop peu.
Dans cet article, nous vous expliquerons, de manière simple et accessible, pourquoi ces mesures de sécurité informatique sont essentielles et pourquoi, en tant qu'utilisateurs, vous en êtes les principaux acteurs !

 

 

Focus sur les failles humaines

Pour faire simple, lorsqu’un pirate va mener une attaque, il va essayer de trouver une faille soit dans l’infrastructure, soit dans l’humain. Et cette dernière est de loin la plus probable, cela s’appelle le Social Engineering ! Il s’agit de pousser un utilisateur à commettre une faute afin d’obtenir un accès non autorisé à un système.

La faille la plus critique, que l’on appelle le « vecteur d’attaque » dans le domaine de la sécurité, c’est donc vous !

Il est donc primordial de sensibiliser tous les utilisateurs : professionnels et privés, adultes et enfants. Chacun doit connaître les dangers, savoir reconnaitre les éléments suspects et être capable de s’en protéger. L'éducation aux médias est donc une priorité ! Si les entreprises et le public adulte sont principalement la cible de pirates et d'escrocs qui tenteront de soutirer de l’argent, les enfants peuvent quant à eux être la cible de cyberharceleurs ou de prédateurs sexuels.

 

Les failles de l’infrastructure

Aujourd’hui, les systèmes informatiques sont au cœur de nos vies, tant privées que professionnelles. Comme pour toutes les technologies, des failles existent, qu’il s’agisse de défauts de conception ou de configuration. Des failles et bugs sont découverts tous les jours. 

Au cours de sa vie, on estime qu'un programme connaîtra, approximativement, une quantité de bugs équivalente à 10% du nombre de ses lignes de codes. Ainsi, même le code le plus qualitatif n'en sera pas exempt, c'est inévitable ! De fait, même les géants du secteur ne sont pas épargnés. Windows 7, le système d'exploitation développé par Microsoft et supporté jusqu'en janvier 2020, comportait aux alentours de 40 millions de lignes de code. Il aura donc connu environ 4 millions de bugs au cours de son existence. En outre, on estime que Windows 10, l'actuel OS de Microsoft, est constitué de 80 millions de lignes de codes, Facebook de 100 millions, et Google de 2 milliards. Imaginez donc un instant le nombre de corrections quotidiennes nécessaires pour ces mastodontes de la toile...

Facebook met en place un système de récompenses pécuniaires pour les personnes qui trouvent des failles de sécurité dans ses systèmes et les lui signalent. Cela s’appelle Facebook White Hat. Ce programme couvre aussi d'autres de ses produits comme Instagram et WhatsApp.

 

Les 5 étapes d'une attaque informatique

Qu’il s’agisse d’une attaque de grande ampleur ou non, le schéma est toujours le même :

  1. La reconnaissance : récolter des informations sur la future victime
  2. Le scan : scanner son réseau et son matériel afin de détecter s’il y a des failles exploitables
  3. L’accès : exploiter une faille pour obtenir un accès illégitime à la machine cible
  4. Maintenir l’accès : mettre en place des backdoors* pour garder le contrôle sur votre machine
  5. Effacer les traces : supprimer toutes traces d’intrusion pour éviter d’être repéré
Backdoor : Le pirate laisse sur votre machine un petit programme qui lui permet d’y accéder quand il le souhaite, sans devoir réitérer toute son attaque depuis le début. C’est ce qu’on appelle une porte dérobée en français.

 

Comprendre le mode de fonctionnement des pirates informatiques

Trois choses motivent les hackers : l’argent, la gloire ou les convictions.

En tant que personne ou entreprise, ce sera probablement votre argent qui sera visé. En tant qu’institution de renommée (Etat, multinationale réputée très sécurisée), vous hacker sera davantage un challenge.
En tant qu’entreprise controversée (en incompatibilité avec certaines éthiques comme le climat, les droits de l’homme, le travail des enfants,… ) ou États, vous serez davantage la cible d’hacktivistes.

Différents types de hackers

Ne pensez pas que les principales attaques sont difficiles à mettre en place. Des systèmes d’exploitation et des frameworks complets sont dédiés au hacking. Même des personnes avec peu de connaissances techniques et peu de moyens peuvent mener des attaques. Ils utilisent alors des outils créés par d’autres, on les appelle les scripts kiddies. Metasploit, LOIC, Meterpreter sont des outils extrêmement connus qui permettent de mettre en place, en quelques clics, des attaques relativement sophistiquées.

Parallèlement, les hackers professionnels sont souvent des personnes extrêmement intelligentes qui ont une connaissance pointue du fonctionnement des réseaux. Ils seront capables de mener des opérations d’envergure, et agissent souvent pour le compte d’états (cyberguerre) ou de sociétés (espionnage industriel par exemple).

Notons également le cas particulier des hacktivistes qui agissent afin de faire valoir leurs revendications. Leurs actions consisteront souvent à rendre inaccessible le site web d’une institution par déni de service*.

Une attaque par déni de service, appellée aussi attaque Dos ou DDos, consiste à rendre un serveur (un site web par exemple) inaccessible en le submergeant de connexions. Si cette attaque est menée à partir d'une seule machine, il s'agira alors d'une attaque Dos (Deny of service). En revanche, si elle est menée à partir d'un très grand nombre de machines simultanément, il s'agira alors d'une attaque DDos (Distributed Deny of Service). Cette deuxième option étant bien sûr plus efficace.

 

Comprendre les attaques informatiques

Internet a été créé il y a de nombreuses années, et son architecture, son fonctionnement interne, à savoir la communication entre tous ses périphériques (routeurs, serveurs et autres), est basée sur la confiance. Il est donc aisé, pour qui en a les compétences, d’interférer avec le fonctionnement normal des systèmes de communication pour en tirer avantage : usurper l’identité d’un serveur de confiance (spoofing) ou écouter et lire le trafic réseau (eavesdropping). Cela peut être mis en place par une attaque de type « Man-in-the-middle ». Entendez par là, le pirate est sur votre réseau et fait en sorte que toutes les communications passent par lui. Il peut les lire, les modifier, les supprimer ou les dévier. Ce qui portera atteinte à l’authenticité, l'intégrité et la confidentialité des données. C'est pourquoi l'élément prioritaire est d'empêcher le pirate de pénétrer votre réseau, professionnel ou domestique.

 

Les principaux types d’attaques

Piéger les utilisateurs : le phishing

Le mot phishing vient de l’anglais « pêcher », sauf que dans ce cas-ci la pêche ne concerne pas des poissons mais des bonnes poires qui mordront à l’hameçon : vous ! D’où la traduction française d’hameçonnage pour cette pratique.

Peu importe le moyen technique utilisé par le pirate, le but sera de vous faire cliquer sur quelque chose. Cela peut être fait via un lien dirigeant vers un site malveillant, qui installera un logiciel en arrière-plan (lorsque vous cliquez, vous autorisez d'emblée l’installation). Des scripts malveillants peuvent également être dissimulés dans des fichiers PDF ou des images par exemple, souvent en pièce jointe d'un mail.

Comment cela se passe-t-il ? En prenant contact avec vous, le pirate exploitera votre corde sensible : l'amitié, la générosité, l'avidité, ... Ainsi, vous pourriez être contacté (par mail ou même par SMS) par une prétendue personne de confiance qui a besoin de votre aide. Vous pourriez encore recevoir une offre immanquable par message sur un réseau social. Vous pourriez enfin découvrir un mail vous félicitant d'avoir gagné à la loterie, avec un lien à cliquer pour récupérer vos gains. Les exemples sont légions. En effet, les pirates sont inventifs, sans scrupules et n’hésitent pas à s’attaquer aux personnes vulnérables (personnes âgées par exemple), en suscintant un besoin (citons les pilulles magiques pour soi-disant améliorer vos performances au lit) ou à tirer parti de l’actualité. Les tentatives de phishing surfant sur la vague du covid-19 n’ont pas mis longtemps à émerger : vente de faux médicaments, d'accessoires médicaux ou de compléments alimentaires. Rappelez-vous que pour cette pratique, le pirate n’a qu’un seul but : vous faire cliquer !

Attaquer le système : les failles applicatives

Pour mener cette attaque, l’hacker utilise une faille connue dans un système d’exploitation, dans une application, dans un navigateur web,... pour gagner un accès. En fonction de la gravité de la faille, l'accès obtenu peut aller de la récolte de quelques informations à un contrôle complet de votre machine. Sachez qu’il existe des bases de données publiques qui référencent toutes les failles connues et comment les exploiter, là encore, c’est un jeu d’enfant. Cette méthode est de loin la plus critique car elle ne nécessite aucune action de l’utilisateur, mais reste néanmoins plus rare car les failles de sécurité sont, normalement, rapidement mises à jour.

 

Conséquences d’une attaque réussie

Divulgation de vos données personnelles

Malheur ! Vous avez cliqué là où il ne fallait pas ! Une fois que vous êtes tombé dans le panneau, le pirate peut avoir accès à votre ordinateur ou à votre téléphone : récupérer vos fichiers, ce que vous tapez sur votre clavier, vos historiques de navigation, vos mots de passe, vos numéros de carte de crédit, votre historique des appels et messages, ou encore accéder à votre webcam/caméra. En bref, ce sont vos données personnelles, ou les données de vos clients, qui sont exposées. Les conséquences sont aussi nombreuses que désastreuses : espionnage industriel, revente auprès de groupes criminels, usurpation d'identité ou divulgation publique pour ne citer qu'eux.

Vous avez surement entendu parler du scandale des Panama Papers en 2015. Un hacker -jamais identifié- avait récupéré des documents confidentiels, issus du cabinet d'avocats panaméen Mossack Fonseca, et ensuite divulgué les noms des actionnaires de 214.000 sociétés offshore (qui permettent l'évasion fiscale) via le New York Times. Ce scandale a éclaboussé des hommes politiques, des milliardaires, des sportifs de haut niveau et des célébrités.

Chantage

Et pourquoi pas crypter tous vos fichiers, et demander une rançon pour vous les restituer ? Cela s’appelle un ransomware. C’est en vogue pour le moment. De même, vous pourriez avoir réellement des données compromettantes ou confidentielles, dont une divulgation vous serait nuisible tant d'un point de vue privé que professionnel. Vous seriez alors à la merci de votre agresseur. Si cela vous arrive, n’oubliez jamais que, d'une part, même si vous pliez au chantage, rien ne vous assure que le pirate vous restituera vos données ou ne les divulguera pas. Et d'autre part, divulguer ce genre de contenu lui fera prendre un risque d’être tracé et identifié.

Utiliser votre ordinateur à votre insu

Une fois votre machine sous contrôle, le pirate peut en utiliser ses ressources et les allouer à ce que bon lui semble. Citons par exemple le minage de cryptomonnaie* ou la consitution d'un parc d'ordinateurs zombies*

Avez-vous déjà entendu parler du Bitcoin, de l'Ethereum ou du Ripple ? Ces cryptomonnaies sont parmi les plus connues. Ce sujet est fort complexe ; aussi je vais essayer de l'expliquer en des termes les plus simples possibles. Il s'agit d'un système monétaire qui ne repose pas sur une banque centrale qui émet (créée) de la monnaie pour contrôler l'économie. Les cryptomonnaies sont gérées par des ordinateurs interconnectés qui contrôlent les transactions et crééent cette monnaie grâce à des alogrithmes dits "de minage". En effet, ces monnaies virtuelles sont conçues pour que leur découverte, et donc la masse monétaire totale, reproduise la découverte de l'or ou d'autres métaux précieux ; au début, peu de personnes en cherchent et donc en trouvent facilement. Et puis, comme l'information se répand, le réseau grandit car de plus en plus de personnes en cherchent, et en trouver devient plus rare. Cela permet d'avoir une inflation contrôlée. Il n'y a absolument rien d'illégal à cela.
Mais une dérive de ce système est que, pour augmenter leurs revenus, les pirates ont besoin d'énormément de puissance de calcul pour faire tourner ces algorithmes de minage. D'où la nécessité de détourner la puissance de calcul de vos ordinateurs.

 

Ordinateur zombie : un ordinateur zombie est une machine contrôlée à distance par un pirate (souvent totalement à votre insu), en vue de s’en servir pour lancer d’autres attaques. Ces attaques sont principalement des attaques par déni de service distribué, ou DDos, comme expliqué précédemmentLes ordinateurs zombies peuvent aussi servir à miner de la cryptomonnaie à grande échelle. En 2019, le Centre français de lutte contre les criminalités numériques (C3N), a neutralisé un botnet nommé Retadup qui contrôlait 850.000 ordinateurs zombies minant de la cryptomonnaie. Impressionnant !

 

Les quatre principes de la sécurité informatique

Ce sont donc ces quatre principes essentiels qui, ensemble, constitueront le coeur d’une sécurité informatique efficace : Authenticité, Confidentialité, Intégrité et Disponibilité

  • Authenticité : être certain que votre interlocuteur, appareil ou humain, soit bien celui qu’il prétend être
  • Confidentialité : les données ne sont accessibles que par les personnes qui en ont l’autorisation
  • Intégrité : les données stockées ou transmises sont bien celles auxquelles on s’attend, et ne sont pas altérées volontairement ou involontairement
  • Disponibilité : les systèmes sont disponibles lorsqu'on en a besoin

A titre d'exemple, en usurpant l’identité d’un serveur de confiance, le champ d’action d’un pirate informatique est grand. Ainsi, si votre serveur DNS est corrompu, le pirate pourra vous rediriger vers de faux sites webs imitant à la perfection les sites légitimes (plateformes d'e-banking notamment).

Pour les novices, les sites webs ne sont pas joignables grâce à leur nom (par exemple « google.com »), mais par une adresse IP unique. Le serveur DNS est un dispositif qui communique à votre ordinateur que le l’URL que vous avez demandée correspond à telle adresse IP. Ce fonctionnement est automatique et complètement invisible.

 

Comment se protéger efficacement ?

Se protéger des failles applicatives

Bien sûr, tous les bugs ne sont pas critiques et ne concernent pas uniquement la sécurité de votre système. Cependant, il est tout de même indispensable de les corriger. C'est le rôle des mises à jour régulières de votre ordinateur, de votre téléphone et de vos applications. Vous savez donc maintenant pourquoi il est important de les faire... Cependant, malgré tout ce suivi, le risque zéro n’existe pas !

Limiter la récolte possible d'informations

Plus un pirate aura d’informations sur vous et votre entourage, plus il pourra créer une attaque crédible. Si vous recevez un mail de votre supérieur hiérarchique vous demandant de lui rappeler le mot de passe du programme de banking parce qu’il ne l’utilise pas souvent, cela n’éveillera sûrement aucun soupçon. Or les organigrammes des sociétés, les noms et les mails des collaborateurs peuvent être facilement accessibles pour une personne tierce : sur le site web de l’entreprise, la liste des employés d’une entreprise sur LinkedIn avec leur fonction respective. C’est un jeu d’enfant pour un pirate.

Pour limiter les risques, ne divulguez jamais vos informations bancaires ou personnelles, configurez correctement la confidentialité sur les réseaux sociaux, n'y partagez pas trop d'informations sur vous-mêmes ou sur vos enfants.

Etre prudent, tout simplement

La prudence et la prévention seront vos plus grandes alliées dans ce combat de tous les jours. En plus de faire les mises à jour qui vous sont proposées, comme déjà rappelé précédemment, éteignez votre ordinateur ou votre Wi-Fi quand vous ne les utilisez pas. Ce sera de surcroit bénéfique pour la planète. Installez un antivirus, il en existe des gratuits et fiables. Leurs bases de données sont mises à jour quotidiennement et repèrent les empreintes des virus connus. Certains antivirus détectent même les activités suspectes sur votre ordinateur comme un programme qui accède à énormément de fichiers ou établit des connexions vers l'extérieur. Ils peuvent également vous avertir lorsque vous surfez sur un site suspect et bloquent les téléchargements non sollicités. Utilisez des mots de passe complexes, différents d’une application à une autre et ne les communiquez à personne. Enfin, protégez votre Wi-Fi domestique par un mot de passe fort. Ce sont déjà des premiers pas qui rendront la tâche plus compliqué à vos éventuells assaillants.
En outre, soyez critiques et faites attention où vous surfez et cliquez, ne suivez pas des liens ou des publicités douteux.
Si vous avez un doute, ne cliquez pas, fermez la page, supprimez le mail ou demandez confirmation à votre interlocuteur via un autre canal s’il s’agit d’une demande d’informations sensibles.

Sensibilisation

Sensibiliser, sensibiliser et encore sensibiliser ! L’enjeu majeur d’une politique de sécurité, que ce soit en entreprise ou chez vous à la maison avec vos enfants, c’est la sensibilisation ! Comprendre les risques, comprendre que nous sommes tous une cible potentielle, et comprendre ce qui est mis en place pour nous protéger, c’est le meilleur moyen d’être sécurisé ! Ce sujet est vaste et pourrait à lui seul faire l'objet d'un article.

En entreprise, prenez le temps de former vos employés, de les accompagner dans les changements mis en place et de désigner un référent qui sera chargé de répondre aux nombreuses questions. Il faudra établir une charte de bonnes pratiques. Pensons par exemple au post-it avec le mot de passe collé au bas de l'écran à proscrire, aux clés USB venant de sources extérieures à scanner obligatoirement avant utilisation ou à interdire, aux téléchargements de logiciels et leur installation à réglementer, etc. Il pourra également être nécessaire d'établir des sanctions en cas de non respect de ces règles.

À la maison, les éléments à mettre en place sont pour ainsi dire les mêmes, si ce n'est avec une pédagogie adaptée à l'âge de vos enfants. Vous pouvez de surcroit installer des logiciels de contrôles parental sur les ordinateurs ou téléphones de vos enfants. Ceux-ci, bien que parfois jugés intrusifs, surveilleront leur activité et bloqueront certains contenus, principalement à caractères pornographiques. Certains logiciels de contrôle parental permettent aussi de limiter la durée d'utilisation des appareils ou de définir des plages horaires autorisées. Installez l'ordinateur famillial à un endroit où vous pourrez garder un oeil dessus, dans le salon par exemple. De plus, certains modèles de modems peuvent être configurés afin d'empêcher l'accès à certains sites webs inappropriés. Ces derniers étant bien souvent pronographiques, mais pas uniquement. Bien entendu, ces derniers sont inutiles vu l'accès à internet devenu extrêmement bon marché par la 4G via les smartphones de vos bambins. D'ailleurs, à quel âge pensez-vous qu'ils auront leur propre smartphone ? A l'heure actuelle, la moyenne est de 10 ans en France. Les parents interrogés pensent ainsi les responsbiliser, leur permettre de rester en contact avec leurs amis ou encore de leur offrir un outil de distraction. 

Mettre en place sa sécurité

Pour les entreprises, PME et indépendants, il sera nécessaire de faire un audit de sécurité. C'est à dire analyser les processus actuels, mettre en évidence les failles et faire une analyse de risques (proportion entre gravité et probabilité qu’un incident survienne). Ensuite, éventuellement réaliser des tests de pénétration.
Sur base des résultats, il conviendra d'adapter l'infrastructure et les processus, de mettre en place un système de sauvegarde complet et de mettre en place une solution de Business Continuity. C’est-à-dire, comment assurer la continuité du business en cas d’attaque et comment répondre aux incidents, en formant une Incident Response Team généralement. Et enfin, créer une politique de sécurité en y intégrant vos employés pour encore une fois, les sensibiliser !
Les bonnes pratiques mises en place devront être réévaluées périodiquement en fonction de l’évolution de votre entreprise.

En conclusion, n’hésitez pas à faire appel à des experts, plutôt que d’attendre la catastrophe. Comme le dit l'adage populaire : mieux vaut prévenir que guérir !

 

Sources

Image de couverture par andreas160578 de Pixabay

 

Auteur:   Lambin Grégoire

Vues   351